На самом деле с рассчетом рисков, какой бы метод не был выбран, вопросы будут.

Дайте запись посмотреть встречи, а то такая дискусия развернулось, аж интересно )

+ (не успел присоединиться)

Ещё забавнее будет когда вложили 10 лямов, а ни одного инцидента за год не было :)))

Так в основном и бывает ) но это и логично, значит ИБ работает

Мы же не считаем, что мы заплатили за противопожарный план помещения и его реализацию, а пожара ни одного не было? )

заказываете услугу Compromise Assessment и узнаете, что инцидент таки был 🤣

Это вопрос к культуре. Мне как то сказали, наши экономисты любую (и Вашу) методику разнесут. Человек вообще так устроен, что было бы желание разнести - аргументы всегда найдутся. Скорее вопрос нужно ставить: что можно улучшить, что бы эту методику принять. Так гораздо продуктивнее

Да, но есть нюанс - противопожарка нужна по СНИПу, без неё проект не примут :))

Это точно! Ко всему можно придраться, но лучше иметь рассчет, рисков, чем не иметь совсем

А в нашем случае есть, например, ФЗ №187 или приказ ФСТЭК )

Ну да, ну да

Это больше к необходимости наличия сием и т.п. относится. СОВ, антивирусы - это копейки

А еще вот интересно, что, например, в нефтегазовой отрасли очень большая практика по рассчетам рисков в связи с функциональной безопасностью. А вот если брать ж/д, то там нет никаких рассчетов. Написано, надо контроль температуры букс, значит надо, или негорючие провода по вагону прокладывать вместо обычных. Я к тому, что если считать риски для того, чтобы  только убеждать в необходимости ИБ, то может для ряда отраслей и не надо тогда считать.

Считать риски надо если есть в общем есть план управления рисками на предприятии.

Марина, для телемеханики, управляющей движением и путями считают.

Скорее считают вероятность срабатывания, а не риски

Это как с надежностью

+ .. количественно оценивать вероятности для таких событий практически невозможно

и методологически неправильно